开篇校园卡系统组成和设计原理哈尔滨新中新电子股份有限公司2006年11月22日研讨主要内容一、系统组成和功能介绍二、主要业务流程和处理机制三、校园卡系统的标准介绍四、常见问题及解决方案五、校园卡系统建设建议一、系统组成和功能介绍基本架构数据中心平台前置机系统平台应用系统平台系统基本架构数据中心平台数据中心主要功能系统名称主要功能电子钱包一卡通帐户数据字典商户和管理帐户数据字典全局设置数据字典系统管理和运行环境设置数据字典流水帐数据字典报表部分数据字典身份系统一卡通身份数据字典全局设置数据字典系统管理和运行环境设置数据字典报表部分数据字典身份信息存储、身份识别电子钱包与身份数据库关系钱包数据库身份数据库syntongiddbsvrDL_IDAMANGEDL_SYNTONG电子钱包数据身份数据前置机系统平台综合前置机银行转帐前置机身份统前置机查询前置机VLAN综合前置机银行转帐前置机身份统前置机查询前置机前置机系统主要功能系统名称主要功能综合前置机系统系统白名单同步、系统节点接入控制、系统密钥更新与传递、系统日结开工、系统参数设置等身份前置机系统系统服务端口设置、控制文件生成模式、第三方代理参数设置、服务器并发管理设置查询前置机系统提供网站查询、触摸屏查询、实现电子钱包交易流水向查询前置机同步、银行转账前置机系统提供银行转账功能、系统参数设置、终端设备接入、系统清算和对帐功能综合前置机系统结构图日结操作开工操作换天操作开工日期日结时间是否换天不换天换天操作开工日期日结时间换天不换天综合前置机发日结指令返回收到指令发回收到信息处理后返回成功信息发开工指令返回收到指令发回收到信息处理后返回成功信息金融服务器身份前置系统结构身份管理系统工作原理:身份数据中心钱包数据中心身份前置机身份客户端身份客户端身份客户端录入信息查询信息其他操作综合前置Sios签到Oracle控件或客户端sock/ftp查询前置机系统结构图请求处理后返回Web服务器Web数据库电子钱包数据库访问IE浏览器挂失、修改密码返回结果触摸屏查询网站查询同步第三方代理请求状态为:0成功,1不成功(提示失败)返回为0:成功,修改状态Socket服务器银行转账系统结构图校园网络PSTN/ISDN/DDN转帐终端银行业务主机管理控制台一卡通系统后台转账前置机应用系统平台综合业务类身份管理类身份识别类消费类身份识别与消费相混合类专款专用类电子帐户类迎新报到类资金充值类综合业务类功能综合业务系统持卡人业务办理商户业务办理信息查询报表管理系统维护身份管理类功能身份管理系统字典信息管理功能资料信息管理功能卡样管理功能相片管理功能信息批量导入功能身份识别类功能门禁管理系统考勤管理系统通道机管理系统教务管理系统人事管理系统以上这些应用管理系统都是基于纯粹的身份识别功能应用。消费类功能商务消费系统零散商户消费(零散、超市)以太网POS消费通用收费系统圈存机交费水控管理系统电控管理系统以上这些应用系统主要集中在消费功能的应用身份识别与消费混合类图书管理系统上机管理系统医疗管理系统游泳馆管理系统以上几个应用系统既要进行身份识别同时还需要进行消费功能。专款专用类功能饭堂补助类专款专用(军校)体育场馆补助专款专用上机系统补助专款专用科研经费专款专用以上都是对于专款专用类功能的描述,目前应用比较普遍的是饭堂补助专款专用电子帐户类功能主要应用在进行无卡支付的应用领域里(也就是网上支付)可以通过设立电子帐户,直接进行电子帐户交易;比如:科研经费、四六级考试费、选课费等等、电话费用支付。迎新报到类功能迎新报到注册系统军需物品领用系统毕业生离退系统(目前正在开发)目前应用的成功案例为深圳大学迎新报到注册系统和军需物品领用系统。资金充值类功能现金充值(包括对持卡人账户、电子账户)持卡人账户向电子帐户转账银行转账(自动和自助两种)补助扣款发放二、系统主要业务流程和处理机制专用术语解释主要业务流程财务体系安全机制及控制日常异常业务处理系统专用术语及解释卡余额库余额电子账户余额过渡余额当前过渡余额上次过渡余额查询密码消费密码消费限额补助补助流水补记流水补写卡片余额平帐处理平帐冲正调账卡片校正系统主要业务流程发卡流程常规业务流程银行转账业务流程网上业务流程第三方应用业务流程校园卡发卡业务流程两卡分离发卡流程:银行卡与校园卡单独发放校园卡首先进行卡片初始化卡片开户卡片发放校园卡与银行卡建立对应关系两卡合一发卡流程:银行预制卡校园卡卡片初始化校园卡开户银行卡开户卡片发放校园卡常规业务流程消费、存款、开户、换卡、销户、冲正、平帐、冻结、预开账户等消费终端写卡流程和原理存款交易终端写卡流程和原理圈存终端写卡流程和原理交易流水产生、传输、存储过程联机业务与脱机业务处理流程和区别消费终端交易流程和原理原理:寻卡—防重叠—选卡—认证与存取控制—读写卡首先判断卡片有效期其次判断黑白名单读/写卡片内容下传流水网关/数据库接收交易流水进行存储后台服务程序处理数据记账存款交易主要流程和原理首先判断卡片有效期其次判断卡片黑白名单读取卡片内容形成交易流水上传数据中心得到应答后进行写卡片存款交易为连库实时交易圈存机交易流程和原理首先银行转账前置机和银行前置机进行信息确认;在银行下帐之前,需要比对校园卡账号与银行卡账号绑定关系;银行下帐后,一卡通数据库接到应答后进行一卡通金融数据库记账;最后在圈存终端上进行卡片写卡;注意:在一卡通系统后台确认已经收到银行转账金额后,系统认为成功,不管圈存终端结果如何典型联机业务和脱机业务联机业务:以太网pos现金充值综合业务系统银行转账系统开户业务脱机业务:饭堂消费终端以太网消费终端第三方应用类联机业务与脱机业务区别联机处理:正确流水插入trjn表服务程序处理dbserve流水Data目录中流水文件脱机处理:正确流水插入trjn表上传流水插入utrjn表DbprocUserveData目录中流水文件流水银行转账业务流程自助转账业务流程首先由圈存机发起业务请求校园卡系统后台进行校园卡账号和银行卡账号核对系统后台向银行转账前置机发起交易银行转账前置机与银行主机进行通讯、交易返回结果首先写入系统后台帐户中最后在通知圈存机写卡完成交易自动转账业务流程(开通模式、实现的条件)该业务通过消费触发后台进行定期轮巡后对满足要求的账户发起自动转账请求银行处理完成后发送给校园卡系统后台持卡人通过领取补助的方式获得转账余额网上主要业务网上查询业务触摸屏查询业务语音查询业务网上支付业务(电子帐户消费)网上支付业务首先在校园卡系统后台开设电子帐户电子帐户与持卡人账户相绑定进行电子帐户金额支付说明:通过扣款的方式进行卡片余额减少第三方应用业务接入所需设备:第三方代理服务器、第三方接入软件、通用读卡器、加密卡、Sios软件、双网卡接入标准:VB、VC、Delphi主要应用范围:图书管理系统、上机管理系统、医疗管理系统、水控管理系统、电控管理系统等系统财务体系记账原则和科目卡库账务系统对帐系统清算财务报表系统财务体系记账原则1、借贷科目贷方借方持卡人帐户库存现金商户帐户银行转帐手续费收入补助扣款平帐处理内部往来押金收入2、记帐规则借方科目记借,余额增加借方科目记贷,余额减少贷方科目记借,余额减少贷方科目记贷,余额增加系统安全机制和控制系统密钥产生、授权、分发(PSAM卡)消费密码限额消费密码/查询密码授权及第三方接入认证网络规划黑白名单机制系统高可靠性系统密钥生成/授权/发放密钥产生:系统密钥生成是结合新中新、学校、银行三方的密钥通过相应的密钥算法计算而产生的,是不可逆的,即种子密钥。系统授权:授权卡包含系统所有节点的基础信息;证书卡是用于每个节点在进行节点接入时进行验证种子密钥授权卡证书卡系统密钥/卡片密钥系统密钥:静态密钥即种子密钥产生的密钥。动态密钥由综合前置机每天根据静态密钥通过相应算法进行更换,产生动态密钥,主要用于系统交易。卡片密钥:卡片密钥遵从中国人民银行有关标准,采用主密钥、工作密钥、扇区密钥、个人密码密钥等组成校园卡系统的卡片密钥体系,确保了支付交易各环节的安全性。消费密码限额为防止恶意消费,保护持卡人利益,一卡通系统设计了某个时间段内持卡人的累计消费金额上限的参数,在超过这个限制额度时需要输入消费密码来解除这个限制,这个限制额度称为密码消费限额(即密码限额)。消费累计限额在更换日期后自动清零;消费累计限额在更换时间段自动清零;消费密码/查询密码消费密码:消费密码是保存在卡片上,主要应用在卡片消费时,超过消费限额时所需要输入的密码;查询密码:查询密码是保存在数据库中,已密文的形式保存,主要应用在查询业务中使用;授权及第三方接入认证安全接入认证通过硬件加密卡存储认证密钥。代理服务第三方不是直接操作一卡通的后台,而是通过我公司提供的接入的套件以代理方式提供服务的。网络隔离双网卡严格对账涉及商务类严格对账。网络安全规划物理专网虚拟专用网络(VPN/VLAN)防火墙双网卡银行专用线路黑白名单机制黑白名单形成校园卡系统中心首先形成黑白名单校园卡系统中心通过数据包主动通知综合前置机,形成新的task任务文件黑白名单下发综合前置机主动将新的黑白名单文件发布给各系统第三方应用系统发送到sios,消费系统发送到商务网关;如果各系统节点没有在线,则该节点的任务一直保存在综合前置系统中,直到该节点登陆获取新的白名单,改任务取消;消费终端在脱机运行时,以黑名单为主,通过手工从网关下载系统高可靠性Unix操作系统双机热备份方案双路UPS电源供电SAN存储架构数据集中存储方式黑白名单及时更新交易流水及时上传系统异常业务处理卡库不符冻结平帐冲正补记流水补写卡片余额调账卡片校正补助流水(一笔补助两笔补助流水现象)校园卡系统标准介绍数据信息标准卡片信息格式和规划机具标准安全标准第三方接入标准系统数据信息标准按照教育部颁发的标准建设提供身份信息采集标准表格提供部门信息采集标准表格提供商户信息采集标准表格提供商户部门采集标准表格卡片信息格式和规划卡片为Mifare-1S50或者S70卡片前6个扇区占用,其余扇区留给用户使用卡片信息:姓名、性别代码、卡片余额、学/工号、校园卡账号、消费密码、民族代码、卡片有效期、身份代码、国家代码等校园卡系统机具标准兼容S50、S70卡片可以进一步升级到兼容CPU卡兼容TypeA和TypeB标准符合国家3C认证标准系统安全标准符合国家国家标准(GB17859-1999)计算机信息系统安全保护等级划分准则,目前到达第三级;采用专用加密模块、加密算法、加密卡、加密机、加密键盘;采用MAC校验、MD5数字签名、DES和3DES加密算法;数据报文传输符合ISO8583标准;卡片密钥采用一卡一密、一区一密;符合中国人行规定的密钥体系规范;系统第三方接入模式系统第三方接入标准提供标准第三方接口程序提供基于VB、VC、Delphi三种接口实例提供接口函数调用说明书第三方接口类型管理类:信息同步、第三方设备认证、中心数据库数据检索代理服务—文件及交易包方式、挂失、解挂、开通、关闭、启用身份功能、禁用身份功能、公共信息下载、公共信息变化通知(如:部门代码、身份代码等)卡交易类:联机消费、退费、流水号同步、脱机消费、修改查询密码信息检索类:下载文件、像片下载、自动程序升级服务、支持第三方系统提交SQL语句系统常见问题和解决方案第三方应用系统黑白名单同步不及时问题银行转账出现单边账不能够及时发现问题全局身份信息变更后不能同步问题系统财务报表怎么样对、怎样管